マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム
【課題】迅速にマルウェア感染端末を検知することを課題とする。
【解決手段】マルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する。また、マルウェア感染端末検知装置は、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを記憶部から取得する。その後、マルウェア感染端末検知装置は、特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合、且つ、特定された通信プロトコル及びポート番号と、取得された通信プロトコル及びポート番号とが一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。
【解決手段】マルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する。また、マルウェア感染端末検知装置は、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを記憶部から取得する。その後、マルウェア感染端末検知装置は、特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合、且つ、特定された通信プロトコル及びポート番号と、取得された通信プロトコル及びポート番号とが一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムに関する。
【背景技術】
【0002】
従来、情報漏洩や不正アクセス等の脅威をもたらすコンピュータウィルスやスパイウェア、ボットプログラムといった悪意のある不正なコンピュータプログラム(以下、「マルウェア」と呼ぶことがある)が猛威を振るっている。
【0003】
マルウェアによる脅威を抑制するためには、マルウェアに感染した端末からマルウェアを駆除することが重要である。マルウェアを駆除するために、ユーザは、一つの様態として、マルウェアに感染した端末に対して、アンチウィルスソフトウェア等を利用して対処してきた。ところが、1.4秒に1件の新種マルウェアが出現しているという報告もある(非特許文献1)ことから、アンチウィルスソフトウェアで検知するだけでは対応が追いつかないことが多い。このため、端末ごとにおける対応だけでなく、マルウェアに感染した端末をネットワーク側から検出し、対処することが好ましい。
【0004】
マルウェアには、例えば、IRC(Internet Relay Chat)やHTTP(HyperText Transfer Protocol)等のように、一般に用いられるプロトコルで通信するものがある(非特許文献2)。このようなプロトコルの利用によりマルウェアに感染した端末の通信をネットワーク上で検知する手法としては、例えば、マルウェアの一種であるボットがC&C(Command And Control)サーバと通信する際の特徴的なペイロードを判定基準とするものがある。
【0005】
具体的に、特徴的なペイロードとしては、マルウェアとC&CサーバとがIRCプロトコルにより通信する際のNICK(nickname)や、C&Cサーバから送信されるTOPIC等が挙げられる。そして、多くのマルウェアに共通するペイロードのパターンが含まれている場合には、該当のプログラムをマルウェアとして検知する。
【0006】
また、主要な通信プロトコルで使用されるWell−Knownポートとは異なるポートで行なわれる通信をマルウェアの判定基準とすることが考えられる(非特許文献3)。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】“McAfee脅威レポート:2010年第三四半期”、[online]、[平成23年4月6日検索]、インターネット<http://www.macafee.com/japan/security/threateport10q3.asp>
【非特許文献2】Jan Goebel、Thorsten Holz、“Rishi:Identify Bot Contaminated Hosts by IRC Nickname Evaluation”、USENIX First Workshop on Hot Topic in Understanding Botnets(HotBots ’07)、2007.4.10
【非特許文献3】Holger Dreger、Anja Feldmann、Michael Mai、Vern Paxson、Robin Sommer、“Dynamic Application‐Layer Protocol Analysis for Network Intrusion Detection”、15th USENIX Security Symposium、2006.8.4
【発明の概要】
【発明が解決しようとする課題】
【0008】
従来技術では、迅速にマルウェア感染端末を検知することができないという問題がある。具体的には、従来技術では、マルウェアに共通するペイロードのパターンを検出するために、特徴的なペイロードを利用しているものの、新種のマルウェアの出現数は膨大であるためそのパターンを網羅することは困難である。また、そもそも、従来技術では、マルウェアに共通するペイロードのパターンが利用されないものについては検知することができない。また、従来技術では、例えば、IRCやHTTP等の通信において、マルウェアに感染していないユーザであっても、Well−Knownポートとは異なるポートで通信を行なうこともあるため、Well−Knownポートとは異なるポートの通信を一纏めにマルウェアの判定基準とするのは好ましくない。
【0009】
そこで、本発明は、上記に鑑みてなされたものであって、迅速にマルウェア感染端末を検知することが可能であるマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するため、本発明に係るマルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定部と、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではない場合、且つ、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部とを有する。
【発明の効果】
【0011】
本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの一つの様態によれば、迅速にマルウェア感染端末を検知することができるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、実施例1に係るシステム構成例を示す図である。
【図2】図2は、実施例1に係るマルウェア感染端末検知装置の構成例を示す図である。
【図3】図3は、マルウェア情報記憶部によって記憶される情報の例を示す図である。
【図4】図4は、実施例1に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【図5】図5は、実施例2に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【図6】図6は、実施例2に係るシステム構成例を示す図である。
【図7】図7は、本発明に係るマルウェア感染端末検知プログラムがコンピュータを用いて具体的に実現されることを示す図である。
【発明を実施するための形態】
【0013】
以下に添付図面を参照して、本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。
【実施例1】
【0014】
[システム構成]
図1を用いて、実施例1に係るシステム構成を説明する。図1は、実施例1に係るシステム構成例を示す図である。
【0015】
例えば、図1に示すように、本発明に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのネットワークにおけるパケットを分岐するネットワークタップに接続される。かかるネットワークタップは、各種のネットワークにおけるパケットの分岐を、ネットワークに影響を及ぼすことなく実行できる。すなわち、ネットワークタップは、ネットワーク上のパケットを遅延させたり、接続されるネットワーク機器に負荷を与えたりしない。なお、ネットワークを流れるパケットを分岐できる機器であれば良いため、ネットワークタップに限られるものではない。
【0016】
上記構成において、マルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する。そして、マルウェア感染端末検知装置は、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する。続いて、マルウェア感染端末検知装置は、特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合、且つ、特定された通信プロトコル及びポート番号と、取得された通信プロトコル及びポート番号とが一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェア感染端末検知装置による詳細な処理については後述する。
【0017】
[マルウェア感染端末検知装置の構成]
次に、図2を用いて、実施例1に係るマルウェア感染端末検知装置の構成を説明する。図2は、実施例1に係るマルウェア感染端末検知装置の構成例を示す図である。
【0018】
例えば、図2に示すように、マルウェア感染端末検知装置100は、記憶部110と、制御部120とを有する。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。かかる記憶部110には、マルウェア情報記憶部111が含まれる。
【0019】
制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。かかる制御部120には、特定部121と、取得部122と、検知部123とが含まれる。
【0020】
特定部121は、例えば、ネットワークタップ等により分岐されたパケットのペイロードを分析し、ネットワーク通信における通信プロトコルを特定する。同様に、特定部121は、ネットワーク通信で利用される宛先ポート番号を特定する。また、特定部121は、ネットワーク通信における送信元IPアドレスと、宛先IPアドレスとをさらに特定する。そして、特定部121は、上記各種情報を特定した場合に特定した旨を取得部122に通知するとともに、特定した各種情報を検知部123に通知する。
【0021】
取得部122は、例えば、特定部121からの通知を受けると、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルを取得する。同様に、取得部122は、マルウェアが関与した通信で利用された宛先ポート番号を取得する。また、取得部122は、マルウェアが関与した通信で利用される宛先IPアドレスをさらに取得する。そして、取得部122は、取得した各種情報を検知部123に通知する。取得部122が取得する各種情報は、一つの様態として、マルウェア情報記憶部111に記憶される。他の様態として、取得部122が取得する各種情報は、マルウェア感染端末検知装置100に接続される外部の記憶装置やネットワーク上のサーバ装置等に記憶される。
【0022】
図3は、マルウェア情報記憶部111によって記憶される情報の例を示す図である。例えば、図3に示すように、マルウェア情報記憶部111は、「プロトコル」と、「宛先FQDN(Fully Qualified Domain Name)」と、「宛先IPアドレス」と、「宛先ポート番号」とを対応付けて記憶する。これらのうち、「プロトコル」は、例えば、ネットワーク通信における通信プロトコルである。ここでのネットワーク通信とは、図1に示したネットワークだけでなく、他の任意のシステムにおけるネットワークも含まれる。
【0023】
また、「宛先FQDN」は、例えば、主にHTTPプロトコルに対応するFQDNである。また、「宛先IPアドレス」は、例えば、各通信プロトコルにおけるネットワークの通信先のIPアドレスである。また、「宛先ポート番号」は、例えば、各宛先IPアドレスに対応するポート番号である。
【0024】
例を挙げると、マルウェア情報記憶部111は、プロトコル「IRC」と、宛先IPアドレス「a.b.c.d」と、宛先ポート番号「10324」とを対応付けて記憶する。他の例を挙げると、マルウェア情報記憶部111は、プロトコル「HTTP」と、宛先FQDN「www.mal.com」と、宛先IPアドレス「e.f.g.h」と、宛先ポート番号「80」とを対応付けて記憶する。
【0025】
図2の説明に戻り、検知部123は、例えば、特定部121によって特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合に、特定部121によって特定された通信プロトコル及び宛先ポート番号と、取得部122によって取得された通信プロトコル及び宛先ポート番号とが一致するか否かを判定する。このとき、検知部123は、これらの情報が一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、特定部121で特定した送信元IPアドレスを利用することにより識別できる。
【0026】
また、検知部123は、特定部121によって特定された宛先ポート番号が通信プロトコルに対応するWell−Knownポートである場合に、通信プロトコル及びポート番号に加え、特定部121や取得部122それぞれで特定又は取得された宛先IPアドレスが一致するか否かも判定する。このとき、検知部123は、宛先IPアドレスも一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、同様に、特定部121で特定した送信元IPアドレスを利用することにより識別できる。
【0027】
また、マルウェアに感染した端末を検知した検知部123は、該当する通信プロトコルとポート番号とを新たなマルウェア情報として、マルウェア情報記憶部111に対応付けて登録しても良い。このとき、検知部123は、宛先IPアドレスについても登録するようにしても良い。これにより、マルウェア感染端末検知装置100によるその後のマルウェア感染端末検知に係る処理に活用することができる。
【0028】
つまり、マルウェア情報記憶部111は、マルウェアによる通信を検知した他の装置或いはマルウェア感染端末検知装置100によって事前に検知されたマルウェア情報を予め記憶するとともに、マルウェア感染端末検知装置100によって検知されるマルウェア情報を記憶していくことになる。
【0029】
[マルウェア感染端末検知処理の流れ]
次に、図4を用いて、実施例1に係るマルウェア感染端末検知処理を説明する。図4は、実施例1に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【0030】
例えば、図4に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS101)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。
【0031】
そして、マルウェア感染端末検知装置100は、特定した宛先ポート番号が通信プロトコルに対応するWell−Knownポートとは異なるか否かを判定する(ステップS102)。このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる場合に(ステップS102肯定)、特定したプロトコル、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS103)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル及び宛先ポート番号を取得し、特定したプロトコル及び宛先ポート番号と一致するか否かを判定する。
【0032】
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS103肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS103否定)、処理を終了する。
【0033】
また、マルウェア感染端末検知装置100は、Well−Knownポートである場合に(ステップS102否定)、特定したプロトコル、宛先ポート番号及び宛先IPアドレスがマルウェア情報に該当するか否かを判定する(ステップS105)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル、宛先ポート番号及び宛先IPアドレスを取得し、特定したプロトコル、宛先ポート番号及び宛先IPアドレスと一致するか否かを判定する。
【0034】
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS105肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS105否定)、処理を終了する。
【0035】
[実施例1による効果]
上述したように、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、特徴的なペイロードのパターンに基づいてマルウェアを検知する従来技術と比較して、迅速にマルウェア感染端末を検知することができる。また、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、マルウェアに共通するペイロードのパターンが利用されないマルウェアについても検知することができ、マルウェア感染端末の検知精度を向上させることができる。
【0036】
また、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号で行なわれる通信において、プロトコルと宛先ポート番号との組み合わせがマルウェア情報と一致する場合に、マルウェア感染端末からの通信として検知する。この結果、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号を利用した通信をマルウェア感染端末からの通信として一律に検知するために誤検知が多くなる従来技術と比較して、マルウェア感染端末の検知精度を向上させることができる。
【実施例2】
【0037】
さて、これまで本発明に係るマルウェア感染端末検知装置100の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)帯域制御又は通信遮断、(2)処理順序、(3)マルウェア感染端末検知に係る判定、(4)構成、(5)プログラム、において異なる実施例を説明する。
【0038】
(1)帯域制御又は通信遮断
上記実施例1では、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する場合を説明したが、マルウェア感染端末による通信として検知されたネットワーク通信に対して、帯域の制御又は通信の遮断をさらに実行しても良い。これにより、マルウェアに関するネットワーク通信の拡大を抑制することができる。また、検知されたマルウェア情報をネットワーク通信に対する帯域の制御又は通信の遮断に活用するだけでなく、ネットワークを監視する監視装置等の他の装置へ通知することにしても良い。
【0039】
(2)処理順序
また、上記実施例1では、マルウェア感染端末を検知する際に宛先ポート番号がWell−Knownポートであるか否かを判定する場合を説明したが、かかる判定の処理についてはこの処理順序に限られるものではない。図5は、実施例2に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【0040】
例えば、図5に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS201)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。
【0041】
そして、マルウェア感染端末検知装置100は、特定したプロトコルがマルウェア情報に該当するか否かを判定する(ステップS202)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコルを取得し、特定したプロトコルと一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS202肯定)、特定した宛先IPアドレス、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS203)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等から取得したプロトコルに対応する宛先IPアドレス、宛先ポート番号を取得し、特定した宛先IPアドレス、宛先ポート番号と一致するか否かを判定する。
【0042】
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS203肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合に(ステップS203否定)、特定した宛先ポート番号がWell−Knownポートとは異なるか否かを判定する(ステップS204)。ここで、マルウェア情報に該当しない場合(ステップS203否定)とは、宛先IPアドレスと宛先ポート番号との少なくとも何れか一つが一致しなかったことを意味する。
【0043】
このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なると判定した場合に(ステップS204肯定)、特定した宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS205)。すなわち、マルウェア感染端末検知装置100は、取得したポート番号が、Well−Knownポートではない特定した宛先ポート番号と一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS205肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。
【0044】
また、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合(ステップS202否定,ステップS205否定)、又は、特定した宛先ポート番号がWell−Knownポートである場合に(ステップS204否定)、処理を終了する。なお、ステップS202〜ステップS205の処理は、適宜、順序を入れ替えて実行されても良い。
【0045】
(3)マルウェア感染端末検知に係る判定
また、上記実施例では、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知する場合を説明したが、通信プロトコルと宛先IPアドレスとの組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知しても良い。
【0046】
また、このとき、通信プロトコルと、宛先IPアドレスと、さらに宛先ポート番号とを対応付けてマルウェア情報記憶部111等に登録し、その後、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知するようにしても良い。
【0047】
また、このようにしてマルウェア情報記憶部111に登録された通信プロトコル、宛先IPアドレス及び宛先ポート番号は、その後のマルウェア感染端末検知処理において、マルウェア情報として利用される。すなわち、マルウェア情報記憶部111に登録されたマルウェア情報は、通信プロトコルと宛先ポート番号との組み合わせ、通信プロトコルと宛先IPアドレスとの組み合わせ、通信プロトコルと宛先ポート番号と宛先IPアドレスとの組み合わせで、マルウェア感染端末検知に係る判定に利用される。
【0048】
また、上述してきたマルウェア感染端末検知処理は、通信プロトコルに対応する宛先ポート番号がWell−Knownポートでない場合だけでなく、Well−Knownポートである場合に実行されても良い。
【0049】
(4)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報(例えば、マルウェア情報記憶部111に記憶される情報等)については、特記する場合を除いて任意に変更することができる。
【0050】
また、図示したマルウェア感染端末検知装置100の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。
【0051】
図6は、実施例2に係るシステム構成例を示す図である。例えば、図6に示すように、実施例2に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのインラインに配置されても良い。このとき、実施例2に係るマルウェア感染端末検知装置の各構成要素やその機能は実施例1と同様のものとなる。すなわち、実施例2に係るマルウェア感染端末検知装置は、ネットワークタップ等を経由せずに、ネットワーク上のパケットのペイロードから各種情報を特定し、マルウェア情報に該当するか否かを判定して、マルウェアを検知することになる。
【0052】
また、マルウェア感染端末検知装置100にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
【0053】
(5)プログラム
図7は、本発明に係るマルウェア感染端末検知プログラムがコンピュータを用いて具体的に実現されることを示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
【0054】
メモリ1001は、図7に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図7に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図7に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図7に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図7に例示するように、例えばディスプレイ1013に接続される。
【0055】
ここで、図7に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係るマルウェア感染端末検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した特定部121と同様の処理を実行する特定手順と、取得部122と同様の処理を実行する取得手順と、検知部123と同様の処理を実行する検知手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明したマルウェア情報記憶部111に記憶されるデータのように、マルウェア感染端末検知プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、特定手順、取得手順、検知手順を実行する。
【0056】
なお、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。
【符号の説明】
【0057】
100 マルウェア感染端末検知装置
110 記憶部
111 マルウェア情報記憶部
120 制御部
121 特定部
122 取得部
123 検知部
【技術分野】
【0001】
本発明は、マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムに関する。
【背景技術】
【0002】
従来、情報漏洩や不正アクセス等の脅威をもたらすコンピュータウィルスやスパイウェア、ボットプログラムといった悪意のある不正なコンピュータプログラム(以下、「マルウェア」と呼ぶことがある)が猛威を振るっている。
【0003】
マルウェアによる脅威を抑制するためには、マルウェアに感染した端末からマルウェアを駆除することが重要である。マルウェアを駆除するために、ユーザは、一つの様態として、マルウェアに感染した端末に対して、アンチウィルスソフトウェア等を利用して対処してきた。ところが、1.4秒に1件の新種マルウェアが出現しているという報告もある(非特許文献1)ことから、アンチウィルスソフトウェアで検知するだけでは対応が追いつかないことが多い。このため、端末ごとにおける対応だけでなく、マルウェアに感染した端末をネットワーク側から検出し、対処することが好ましい。
【0004】
マルウェアには、例えば、IRC(Internet Relay Chat)やHTTP(HyperText Transfer Protocol)等のように、一般に用いられるプロトコルで通信するものがある(非特許文献2)。このようなプロトコルの利用によりマルウェアに感染した端末の通信をネットワーク上で検知する手法としては、例えば、マルウェアの一種であるボットがC&C(Command And Control)サーバと通信する際の特徴的なペイロードを判定基準とするものがある。
【0005】
具体的に、特徴的なペイロードとしては、マルウェアとC&CサーバとがIRCプロトコルにより通信する際のNICK(nickname)や、C&Cサーバから送信されるTOPIC等が挙げられる。そして、多くのマルウェアに共通するペイロードのパターンが含まれている場合には、該当のプログラムをマルウェアとして検知する。
【0006】
また、主要な通信プロトコルで使用されるWell−Knownポートとは異なるポートで行なわれる通信をマルウェアの判定基準とすることが考えられる(非特許文献3)。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】“McAfee脅威レポート:2010年第三四半期”、[online]、[平成23年4月6日検索]、インターネット<http://www.macafee.com/japan/security/threateport10q3.asp>
【非特許文献2】Jan Goebel、Thorsten Holz、“Rishi:Identify Bot Contaminated Hosts by IRC Nickname Evaluation”、USENIX First Workshop on Hot Topic in Understanding Botnets(HotBots ’07)、2007.4.10
【非特許文献3】Holger Dreger、Anja Feldmann、Michael Mai、Vern Paxson、Robin Sommer、“Dynamic Application‐Layer Protocol Analysis for Network Intrusion Detection”、15th USENIX Security Symposium、2006.8.4
【発明の概要】
【発明が解決しようとする課題】
【0008】
従来技術では、迅速にマルウェア感染端末を検知することができないという問題がある。具体的には、従来技術では、マルウェアに共通するペイロードのパターンを検出するために、特徴的なペイロードを利用しているものの、新種のマルウェアの出現数は膨大であるためそのパターンを網羅することは困難である。また、そもそも、従来技術では、マルウェアに共通するペイロードのパターンが利用されないものについては検知することができない。また、従来技術では、例えば、IRCやHTTP等の通信において、マルウェアに感染していないユーザであっても、Well−Knownポートとは異なるポートで通信を行なうこともあるため、Well−Knownポートとは異なるポートの通信を一纏めにマルウェアの判定基準とするのは好ましくない。
【0009】
そこで、本発明は、上記に鑑みてなされたものであって、迅速にマルウェア感染端末を検知することが可能であるマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するため、本発明に係るマルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定部と、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではない場合、且つ、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部とを有する。
【発明の効果】
【0011】
本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの一つの様態によれば、迅速にマルウェア感染端末を検知することができるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、実施例1に係るシステム構成例を示す図である。
【図2】図2は、実施例1に係るマルウェア感染端末検知装置の構成例を示す図である。
【図3】図3は、マルウェア情報記憶部によって記憶される情報の例を示す図である。
【図4】図4は、実施例1に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【図5】図5は、実施例2に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【図6】図6は、実施例2に係るシステム構成例を示す図である。
【図7】図7は、本発明に係るマルウェア感染端末検知プログラムがコンピュータを用いて具体的に実現されることを示す図である。
【発明を実施するための形態】
【0013】
以下に添付図面を参照して、本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。
【実施例1】
【0014】
[システム構成]
図1を用いて、実施例1に係るシステム構成を説明する。図1は、実施例1に係るシステム構成例を示す図である。
【0015】
例えば、図1に示すように、本発明に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのネットワークにおけるパケットを分岐するネットワークタップに接続される。かかるネットワークタップは、各種のネットワークにおけるパケットの分岐を、ネットワークに影響を及ぼすことなく実行できる。すなわち、ネットワークタップは、ネットワーク上のパケットを遅延させたり、接続されるネットワーク機器に負荷を与えたりしない。なお、ネットワークを流れるパケットを分岐できる機器であれば良いため、ネットワークタップに限られるものではない。
【0016】
上記構成において、マルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する。そして、マルウェア感染端末検知装置は、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する。続いて、マルウェア感染端末検知装置は、特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合、且つ、特定された通信プロトコル及びポート番号と、取得された通信プロトコル及びポート番号とが一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェア感染端末検知装置による詳細な処理については後述する。
【0017】
[マルウェア感染端末検知装置の構成]
次に、図2を用いて、実施例1に係るマルウェア感染端末検知装置の構成を説明する。図2は、実施例1に係るマルウェア感染端末検知装置の構成例を示す図である。
【0018】
例えば、図2に示すように、マルウェア感染端末検知装置100は、記憶部110と、制御部120とを有する。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。かかる記憶部110には、マルウェア情報記憶部111が含まれる。
【0019】
制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。かかる制御部120には、特定部121と、取得部122と、検知部123とが含まれる。
【0020】
特定部121は、例えば、ネットワークタップ等により分岐されたパケットのペイロードを分析し、ネットワーク通信における通信プロトコルを特定する。同様に、特定部121は、ネットワーク通信で利用される宛先ポート番号を特定する。また、特定部121は、ネットワーク通信における送信元IPアドレスと、宛先IPアドレスとをさらに特定する。そして、特定部121は、上記各種情報を特定した場合に特定した旨を取得部122に通知するとともに、特定した各種情報を検知部123に通知する。
【0021】
取得部122は、例えば、特定部121からの通知を受けると、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルを取得する。同様に、取得部122は、マルウェアが関与した通信で利用された宛先ポート番号を取得する。また、取得部122は、マルウェアが関与した通信で利用される宛先IPアドレスをさらに取得する。そして、取得部122は、取得した各種情報を検知部123に通知する。取得部122が取得する各種情報は、一つの様態として、マルウェア情報記憶部111に記憶される。他の様態として、取得部122が取得する各種情報は、マルウェア感染端末検知装置100に接続される外部の記憶装置やネットワーク上のサーバ装置等に記憶される。
【0022】
図3は、マルウェア情報記憶部111によって記憶される情報の例を示す図である。例えば、図3に示すように、マルウェア情報記憶部111は、「プロトコル」と、「宛先FQDN(Fully Qualified Domain Name)」と、「宛先IPアドレス」と、「宛先ポート番号」とを対応付けて記憶する。これらのうち、「プロトコル」は、例えば、ネットワーク通信における通信プロトコルである。ここでのネットワーク通信とは、図1に示したネットワークだけでなく、他の任意のシステムにおけるネットワークも含まれる。
【0023】
また、「宛先FQDN」は、例えば、主にHTTPプロトコルに対応するFQDNである。また、「宛先IPアドレス」は、例えば、各通信プロトコルにおけるネットワークの通信先のIPアドレスである。また、「宛先ポート番号」は、例えば、各宛先IPアドレスに対応するポート番号である。
【0024】
例を挙げると、マルウェア情報記憶部111は、プロトコル「IRC」と、宛先IPアドレス「a.b.c.d」と、宛先ポート番号「10324」とを対応付けて記憶する。他の例を挙げると、マルウェア情報記憶部111は、プロトコル「HTTP」と、宛先FQDN「www.mal.com」と、宛先IPアドレス「e.f.g.h」と、宛先ポート番号「80」とを対応付けて記憶する。
【0025】
図2の説明に戻り、検知部123は、例えば、特定部121によって特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合に、特定部121によって特定された通信プロトコル及び宛先ポート番号と、取得部122によって取得された通信プロトコル及び宛先ポート番号とが一致するか否かを判定する。このとき、検知部123は、これらの情報が一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、特定部121で特定した送信元IPアドレスを利用することにより識別できる。
【0026】
また、検知部123は、特定部121によって特定された宛先ポート番号が通信プロトコルに対応するWell−Knownポートである場合に、通信プロトコル及びポート番号に加え、特定部121や取得部122それぞれで特定又は取得された宛先IPアドレスが一致するか否かも判定する。このとき、検知部123は、宛先IPアドレスも一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、同様に、特定部121で特定した送信元IPアドレスを利用することにより識別できる。
【0027】
また、マルウェアに感染した端末を検知した検知部123は、該当する通信プロトコルとポート番号とを新たなマルウェア情報として、マルウェア情報記憶部111に対応付けて登録しても良い。このとき、検知部123は、宛先IPアドレスについても登録するようにしても良い。これにより、マルウェア感染端末検知装置100によるその後のマルウェア感染端末検知に係る処理に活用することができる。
【0028】
つまり、マルウェア情報記憶部111は、マルウェアによる通信を検知した他の装置或いはマルウェア感染端末検知装置100によって事前に検知されたマルウェア情報を予め記憶するとともに、マルウェア感染端末検知装置100によって検知されるマルウェア情報を記憶していくことになる。
【0029】
[マルウェア感染端末検知処理の流れ]
次に、図4を用いて、実施例1に係るマルウェア感染端末検知処理を説明する。図4は、実施例1に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【0030】
例えば、図4に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS101)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。
【0031】
そして、マルウェア感染端末検知装置100は、特定した宛先ポート番号が通信プロトコルに対応するWell−Knownポートとは異なるか否かを判定する(ステップS102)。このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる場合に(ステップS102肯定)、特定したプロトコル、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS103)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル及び宛先ポート番号を取得し、特定したプロトコル及び宛先ポート番号と一致するか否かを判定する。
【0032】
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS103肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS103否定)、処理を終了する。
【0033】
また、マルウェア感染端末検知装置100は、Well−Knownポートである場合に(ステップS102否定)、特定したプロトコル、宛先ポート番号及び宛先IPアドレスがマルウェア情報に該当するか否かを判定する(ステップS105)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル、宛先ポート番号及び宛先IPアドレスを取得し、特定したプロトコル、宛先ポート番号及び宛先IPアドレスと一致するか否かを判定する。
【0034】
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS105肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS105否定)、処理を終了する。
【0035】
[実施例1による効果]
上述したように、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、特徴的なペイロードのパターンに基づいてマルウェアを検知する従来技術と比較して、迅速にマルウェア感染端末を検知することができる。また、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、マルウェアに共通するペイロードのパターンが利用されないマルウェアについても検知することができ、マルウェア感染端末の検知精度を向上させることができる。
【0036】
また、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号で行なわれる通信において、プロトコルと宛先ポート番号との組み合わせがマルウェア情報と一致する場合に、マルウェア感染端末からの通信として検知する。この結果、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号を利用した通信をマルウェア感染端末からの通信として一律に検知するために誤検知が多くなる従来技術と比較して、マルウェア感染端末の検知精度を向上させることができる。
【実施例2】
【0037】
さて、これまで本発明に係るマルウェア感染端末検知装置100の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)帯域制御又は通信遮断、(2)処理順序、(3)マルウェア感染端末検知に係る判定、(4)構成、(5)プログラム、において異なる実施例を説明する。
【0038】
(1)帯域制御又は通信遮断
上記実施例1では、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する場合を説明したが、マルウェア感染端末による通信として検知されたネットワーク通信に対して、帯域の制御又は通信の遮断をさらに実行しても良い。これにより、マルウェアに関するネットワーク通信の拡大を抑制することができる。また、検知されたマルウェア情報をネットワーク通信に対する帯域の制御又は通信の遮断に活用するだけでなく、ネットワークを監視する監視装置等の他の装置へ通知することにしても良い。
【0039】
(2)処理順序
また、上記実施例1では、マルウェア感染端末を検知する際に宛先ポート番号がWell−Knownポートであるか否かを判定する場合を説明したが、かかる判定の処理についてはこの処理順序に限られるものではない。図5は、実施例2に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
【0040】
例えば、図5に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS201)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。
【0041】
そして、マルウェア感染端末検知装置100は、特定したプロトコルがマルウェア情報に該当するか否かを判定する(ステップS202)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコルを取得し、特定したプロトコルと一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS202肯定)、特定した宛先IPアドレス、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS203)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等から取得したプロトコルに対応する宛先IPアドレス、宛先ポート番号を取得し、特定した宛先IPアドレス、宛先ポート番号と一致するか否かを判定する。
【0042】
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS203肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合に(ステップS203否定)、特定した宛先ポート番号がWell−Knownポートとは異なるか否かを判定する(ステップS204)。ここで、マルウェア情報に該当しない場合(ステップS203否定)とは、宛先IPアドレスと宛先ポート番号との少なくとも何れか一つが一致しなかったことを意味する。
【0043】
このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なると判定した場合に(ステップS204肯定)、特定した宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS205)。すなわち、マルウェア感染端末検知装置100は、取得したポート番号が、Well−Knownポートではない特定した宛先ポート番号と一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS205肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。
【0044】
また、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合(ステップS202否定,ステップS205否定)、又は、特定した宛先ポート番号がWell−Knownポートである場合に(ステップS204否定)、処理を終了する。なお、ステップS202〜ステップS205の処理は、適宜、順序を入れ替えて実行されても良い。
【0045】
(3)マルウェア感染端末検知に係る判定
また、上記実施例では、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知する場合を説明したが、通信プロトコルと宛先IPアドレスとの組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知しても良い。
【0046】
また、このとき、通信プロトコルと、宛先IPアドレスと、さらに宛先ポート番号とを対応付けてマルウェア情報記憶部111等に登録し、その後、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知するようにしても良い。
【0047】
また、このようにしてマルウェア情報記憶部111に登録された通信プロトコル、宛先IPアドレス及び宛先ポート番号は、その後のマルウェア感染端末検知処理において、マルウェア情報として利用される。すなわち、マルウェア情報記憶部111に登録されたマルウェア情報は、通信プロトコルと宛先ポート番号との組み合わせ、通信プロトコルと宛先IPアドレスとの組み合わせ、通信プロトコルと宛先ポート番号と宛先IPアドレスとの組み合わせで、マルウェア感染端末検知に係る判定に利用される。
【0048】
また、上述してきたマルウェア感染端末検知処理は、通信プロトコルに対応する宛先ポート番号がWell−Knownポートでない場合だけでなく、Well−Knownポートである場合に実行されても良い。
【0049】
(4)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報(例えば、マルウェア情報記憶部111に記憶される情報等)については、特記する場合を除いて任意に変更することができる。
【0050】
また、図示したマルウェア感染端末検知装置100の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。
【0051】
図6は、実施例2に係るシステム構成例を示す図である。例えば、図6に示すように、実施例2に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのインラインに配置されても良い。このとき、実施例2に係るマルウェア感染端末検知装置の各構成要素やその機能は実施例1と同様のものとなる。すなわち、実施例2に係るマルウェア感染端末検知装置は、ネットワークタップ等を経由せずに、ネットワーク上のパケットのペイロードから各種情報を特定し、マルウェア情報に該当するか否かを判定して、マルウェアを検知することになる。
【0052】
また、マルウェア感染端末検知装置100にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
【0053】
(5)プログラム
図7は、本発明に係るマルウェア感染端末検知プログラムがコンピュータを用いて具体的に実現されることを示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
【0054】
メモリ1001は、図7に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図7に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図7に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図7に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図7に例示するように、例えばディスプレイ1013に接続される。
【0055】
ここで、図7に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係るマルウェア感染端末検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した特定部121と同様の処理を実行する特定手順と、取得部122と同様の処理を実行する取得手順と、検知部123と同様の処理を実行する検知手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明したマルウェア情報記憶部111に記憶されるデータのように、マルウェア感染端末検知プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、特定手順、取得手順、検知手順を実行する。
【0056】
なお、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。
【符号の説明】
【0057】
100 マルウェア感染端末検知装置
110 記憶部
111 マルウェア情報記憶部
120 制御部
121 特定部
122 取得部
123 検知部
【特許請求の範囲】
【請求項1】
ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定部と、
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、
前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではない場合、且つ、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部と
を有することを特徴とするマルウェア感染端末検知装置。
【請求項2】
前記特定部は、前記ネットワーク通信における宛先IPアドレスをさらに特定し、
前記取得部は、前記マルウェアが関与した通信における宛先IPアドレスをさらに取得し、
前記検知部は、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートである場合、且つ、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知することを特徴とする請求項1に記載のマルウェア感染端末検知装置。
【請求項3】
前記検知部は、マルウェアに感染している端末による通信として検知した前記ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号と、該ネットワーク通信における宛先IPアドレスとをマルウェア情報として対応付けて記憶部に登録し、
前記特定部は、前記ネットワーク通信における宛先IPアドレスをさらに特定し、
前記取得部は、前記検知部によって前記記憶部に登録された宛先IPアドレスを含むマルウェア情報をさらに取得し、
前記検知部は、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知することを特徴とする請求項1に記載のマルウェア感染端末検知装置。
【請求項4】
前記検知部によってマルウェアに感染している端末による通信として検知された前記ネットワーク通信に対して、帯域の制御又は通信の遮断を実行する通信制御部をさらに有することを特徴とする請求項1〜3の何れか一つに記載のマルウェア感染端末検知装置。
【請求項5】
マルウェア感染端末検知装置で実行されるマルウェア感染端末検知方法であって、
ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定工程と、
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得工程と、
前記特定工程で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではない場合、且つ、前記特定工程で特定された通信プロトコル及びポート番号と、前記取得工程で取得された通信プロトコル及びポート番号とが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知工程と
を含んだことを特徴とするマルウェア感染端末検知方法。
【請求項6】
コンピュータを請求項1〜4に記載のマルウェア感染端末検知装置として機能させるためのマルウェア感染端末検知プログラム。
【請求項1】
ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定部と、
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、
前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではない場合、且つ、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部と
を有することを特徴とするマルウェア感染端末検知装置。
【請求項2】
前記特定部は、前記ネットワーク通信における宛先IPアドレスをさらに特定し、
前記取得部は、前記マルウェアが関与した通信における宛先IPアドレスをさらに取得し、
前記検知部は、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートである場合、且つ、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知することを特徴とする請求項1に記載のマルウェア感染端末検知装置。
【請求項3】
前記検知部は、マルウェアに感染している端末による通信として検知した前記ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号と、該ネットワーク通信における宛先IPアドレスとをマルウェア情報として対応付けて記憶部に登録し、
前記特定部は、前記ネットワーク通信における宛先IPアドレスをさらに特定し、
前記取得部は、前記検知部によって前記記憶部に登録された宛先IPアドレスを含むマルウェア情報をさらに取得し、
前記検知部は、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知することを特徴とする請求項1に記載のマルウェア感染端末検知装置。
【請求項4】
前記検知部によってマルウェアに感染している端末による通信として検知された前記ネットワーク通信に対して、帯域の制御又は通信の遮断を実行する通信制御部をさらに有することを特徴とする請求項1〜3の何れか一つに記載のマルウェア感染端末検知装置。
【請求項5】
マルウェア感染端末検知装置で実行されるマルウェア感染端末検知方法であって、
ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定工程と、
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得工程と、
前記特定工程で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではない場合、且つ、前記特定工程で特定された通信プロトコル及びポート番号と、前記取得工程で取得された通信プロトコル及びポート番号とが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知工程と
を含んだことを特徴とするマルウェア感染端末検知方法。
【請求項6】
コンピュータを請求項1〜4に記載のマルウェア感染端末検知装置として機能させるためのマルウェア感染端末検知プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2013−11948(P2013−11948A)
【公開日】平成25年1月17日(2013.1.17)
【国際特許分類】
【出願番号】特願2011−142901(P2011−142901)
【出願日】平成23年6月28日(2011.6.28)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(504139662)国立大学法人名古屋大学 (996)
【Fターム(参考)】
【公開日】平成25年1月17日(2013.1.17)
【国際特許分類】
【出願日】平成23年6月28日(2011.6.28)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(504139662)国立大学法人名古屋大学 (996)
【Fターム(参考)】
[ Back to top ]